Politique de confidentialité, Erudiam
Dernière mise à jour : 1er juin 2026.
Cette politique décrit comment Erudiam (le « Service ») collecte, utilise et protège vos données personnelles, conformément au Règlement (UE) 2016/679 (RGPD) et à la directive ePrivacy 2002/58/CE. La législation nationale de protection des données applicable est le droit belge (loi du 30 juillet 2018 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel), sous le contrôle de l'Autorité de protection des données (APD/GBA).
1. Responsable du traitement
- Identité : Jean de Loynes, entrepreneur indépendant (personne physique) de droit belge (n° d'entreprise BCE et n° de TVA en cours d'attribution).
- Adresse de contact : Avenue du Préau 20, 1040 Etterbeek, Belgique
- Email RGPD : privacy@erudiam.com
Délégué à la protection des données (DPO)
À ce stade, le Service ne traite pas de données à grande échelle ni de catégories particulières au sens de l'article 9 RGPD ; la désignation d'un DPO n'est pas obligatoire (art. 37 RGPD). À mesure que le Service grandira, la désignation d'un DPO sera réévaluée. À défaut, Jean de Loynes (éditeur) exerce les fonctions de point de contact RGPD (privacy@erudiam.com).
2. Données personnelles collectées
| Catégorie | Données concrètes | Source |
|---|---|---|
| Identification | Adresse e-mail, mot de passe haché (jamais stocké en clair, géré par Supabase Auth) | utilisateur |
| Profil | Langue d'interface, pays cible, concours cible (AD5...), date d'examen optionnelle | utilisateur |
| Pédagogique | Réponses aux questions, état FSRS (mémorisation espacée), streak, sessions, scores | usage |
| Examens blancs | Tentatives mock_exam_attempts : phases, réponses, durée, score pondéré |
usage |
| Test de placement | placement_test_attempts : questions servies, réponses, niveau estimé |
usage |
| EUFTE (essais rédigés) | Texte rédigé par l'utilisateur, métriques (mots, minutes), avis ami éventuel | utilisateur |
| Leaderboards (opt-in explicite) | Pseudo public leaderboard_alias, métriques agrégées (jamais nom ni email) |
utilisateur |
| Notifications push | Endpoints push (VAPID web ou Expo token mobile), préférences (kind, heure locale, fuseau) | utilisateur |
| Suppression de compte | Date programmée de suppression (scheduled_deletions) |
RGPD |
| Reports d'erreurs | Question signalée, motif, commentaire libre, tier (beta/live) | utilisateur |
| Parrainage (anti-fraude) | Empreinte device légère hachée (UA tronqué + profondeur couleur + fuseau + langue) et IP hachée (SHA-256 salé) au rattachement d'un filleul, jamais en clair, jamais de fingerprint canvas/WebGL | usage |
Données NON collectées
Le Service ne collecte pas :
- d'adresse IP applicative en clair (aucun log applicatif d'IP, les logs techniques transitoires des hébergeurs Vercel / Supabase / Cloudflare pour la sécurité réseau ne sont pas exploités côté éditeur). Seule exception : au rattachement d'un parrainage, l'IP est immédiatement hachée (SHA-256 salé, jamais stockée en clair) à seule fin anti-fraude, et purgée au-delà de 90 jours (cf. § 4) ;
- de données de localisation GPS ou de géolocalisation précise ;
- de données biométriques ;
- de catégories particulières au sens de l'art. 9 RGPD (santé, opinions politiques, religion, orientation sexuelle, etc.) ;
- de données bancaires (lors de l'activation du paiement P5.i, le traitement bancaire sera délégué à Stripe ou équivalent, voir mise à jour ultérieure de cette politique) ;
- d'analytics tiers : aucun PostHog, aucun Plausible, aucun Matomo, aucun Google Analytics, aucun Mixpanel n'est installé à ce jour ;
- de cookies publicitaires ou de retargeting.
Mineurs
Le Service est destiné à un public adulte préparant les concours EPSO (âge minimum recommandé pour l'AD5 : avoir un diplôme universitaire, donc en pratique 18 ans+). Si vous avez moins de 16 ans, vous ne pouvez pas créer de compte sans autorisation parentale (art. 8 RGPD, seuil français art. 7-1 LIL fixé à 15 ans).
3. Finalités et bases légales
| Finalité | Base légale | Référence RGPD |
|---|---|---|
| Création et authentification du compte | Exécution du contrat (CGU) | art. 6.1.b |
| Préparation pédagogique (FSRS, mock, placement) | Exécution du contrat | art. 6.1.b |
| Notifications push (rappels révision) | Consentement explicite opt-in | art. 6.1.a + ePrivacy |
| Leaderboards et partages publics | Consentement explicite opt-in | art. 6.1.a |
| Modération (signalements d'erreurs) | Intérêt légitime éditeur | art. 6.1.f |
| Sécurité, prévention de la fraude, audit | Intérêt légitime + obligation légale | art. 6.1.f / 6.1.c |
| Suppression différée 14 jours (RGPD) | Obligation légale | art. 6.1.c (art. 17) |
4. Durées de conservation
| Donnée | Durée |
|---|---|
| Compte actif (auth + profile) | Tant que le compte n'est pas supprimé |
| Compte inactif (aucun login) | Notification après 24 mois d'inactivité, suppression à 36 mois |
| Réponses pédagogiques | Liées au compte ; supprimées avec celui-ci |
| Soft-delete RGPD | 14 jours puis hard-delete via RPC request_account_deletion |
| Logs techniques (hébergeurs) | Politique de chaque sous-traitant (Vercel ~30j, Supabase ~7j) |
| Push subscriptions | Tant que le terminal/navigateur les conserve, sinon nettoyage périodique |
| Liens de partage EUFTE | Default 30 jours puis disparition de la lecture publique |
| Logs de notifications dispatch | 90 jours rolling (à confirmer en mise en production) |
Empreintes anti-fraude parrainage (device_hash, ip_hash) |
90 jours puis purge automatique (NULL) via purge_referral_fingerprints() + pg_cron |
5. Destinataires et sous-traitants
Aucune donnée n'est vendue ni cédée à des tiers à des fins commerciales. Les sous-traitants ci-dessous interviennent strictement pour le fonctionnement technique du Service, dans le cadre de DPA standard (Data Processing Addendum) :
| Sous-traitant | Rôle | Localisation | Mécanisme de transfert hors UE |
|---|---|---|---|
| Supabase, Inc. | Auth + base PostgreSQL + storage | Région eu-west-1 (Irlande) |
Données stockées en UE. Société-mère US, transferts résiduels couverts par les clauses contractuelles types (CCT/SCC) UE 2021/914 + DPF (Data Privacy Framework) le cas échéant |
| Vercel, Inc. | Hébergement web (SSR + edge) | Edge EU/US | CCT/SCC UE 2021/914 + DPF |
| Cloudflare, Inc. | CDN, anti-DDoS, R2 (à venir) | EU/Auto | CCT/SCC UE 2021/914 + DPF |
| Anthropic PBC | Évaluation IA des réponses libres EUFTE (API Claude) | US | CCT/SCC UE 2021/914 + DPF le cas échéant. Données transmises : le texte de la réponse, sans identifiant direct. Selon les conditions commerciales d'Anthropic, les entrées API ne servent pas à entraîner les modèles. [TODO legal : confirmer DPA + certification DPF Anthropic] |
| GitHub, Inc. | Hébergement code source uniquement | US | Pas de données utilisateur |
| Google LLC (Drive) | Stockage source de podcasts (interne) | US | Pas de données utilisateur en flux ; usage interne admin |
| Expo (Push) | Routage push notifications mobile | US | Token opaque ; pas de PII |
| Apple / Google | Web Push (APNs / FCM) via VAPID | US | Token opaque ; pas de PII |
Apple, Google et Microsoft (GitHub) ainsi que les autres sous-traitants américains s'appuient, depuis l'invalidation du Privacy Shield (CJUE Schrems II, 2020), sur les clauses contractuelles types publiées par la Commission européenne (décision 2021/914) et, le cas échéant, sur le EU-US Data Privacy Framework (décision 2023/1795) lorsqu'ils y sont certifiés.
Utilisation de l'intelligence artificielle (transparence, RGPD + AI Act art. 50)
Certaines fonctionnalités s'appuient sur un modèle d'intelligence artificielle fourni par Anthropic PBC (API Claude) :
- Évaluation EUFTE : lorsque vous le demandez explicitement et après consentement, le texte de votre réponse libre est transmis à l'API Claude pour produire une note et un retour pédagogique. Seul le texte de la réponse est envoyé, sans identifiant direct (email, nom).
- Aucun entraînement sur vos données : selon les conditions commerciales d'Anthropic, les contenus envoyés via l'API ne sont pas utilisés pour entraîner ses modèles.
- Consentement et journalisation : l'usage de l'IA est soumis à un consentement préalable et révocable, et journalisé de façon conforme au RGPD.
- Pas de décision automatisée : l'évaluation IA est une aide pédagogique ; elle ne produit aucune décision automatisée à effet juridique au sens de l'art. 22 RGPD.
[TODO legal : valider la formulation avec le DPO/juriste et l'AIPD EUFTE-IA]
6. Droits des personnes
Conformément aux articles 15 à 22 RGPD, vous disposez des droits suivants :
- Accès (art. 15), obtenir une copie de vos données. Une fonction
d'export JSON est prévue via l'Edge Function
export-user-data(P1) ; en attendant, écrivez à privacy@erudiam.com. - Rectification (art. 16), corriger vos données via la page Settings (locale, concours, date d'examen, alias leaderboard).
- Effacement (art. 17, « droit à l'oubli »), bouton de
suppression de compte dans Settings : déclenche la RPC
request_account_deletion, soft-delete pendant 14 jours (annulable viacancel_account_deletion), puis hard-delete irréversible. - Limitation (art. 18), écrire à privacy@erudiam.com pour geler temporairement le traitement.
- Portabilité (art. 20), export JSON conforme au format
structuré (cf. Edge Function
export-user-data). - Opposition (art. 21), opt-out leaderboards en un clic dans Settings ; opt-out push dans Notifications.
- Retrait du consentement (art. 7.3), à tout moment via Settings ou en désactivant les permissions navigateur.
- Réclamation (art. 77), auprès de l'Autorité de protection des données (APD/GBA), autorité de contrôle compétente pour un responsable établi en Belgique (Rue de la Presse 35, 1000 Bruxelles, https://www.autoriteprotectiondonnees.be), ou auprès de l'autorité de contrôle de votre propre État membre.
Délai de réponse : 1 mois (extensible à 3 mois pour demandes complexes, art. 12.3 RGPD). Aucun frais sauf demandes manifestement infondées ou excessives.
7. Sécurité
Mesures techniques et organisationnelles (art. 32 RGPD) :
- Chiffrement TLS 1.3 en transit (HTTPS forcé).
- Mot de passe haché par Supabase Auth (algorithme bcrypt côté serveur, jamais stocké en clair).
- Row Level Security (RLS) activée sur toutes les tables sans
exception ; aucune clé
service_roleexposée côté client. - Authentification renforcée prévue : 2FA email magic-link / TOTP en feuille de route.
- Validation des entrées côté client (Zod) ET serveur (CHECK SQL + triggers).
- Aucun secret dans le code source (variables d'environnement
dédiées par scope
NEXT_PUBLIC_*/EXPO_PUBLIC_*/ serveur-only Supabase Functions). - Backups Supabase quotidiens (chiffrés au repos par Supabase).
- Audit des accès admin (table
adminsavecgranted_at,granted_by,notes; aucun flagis_adminmodifiable côté client). - Modèle de menace documenté dans
docs/SECURITY.md.
8. Cookies et traceurs
Voir la Politique de cookies dédiée. Aucun cookie publicitaire ni analytics tiers n'est déposé à ce jour. Seuls des cookies strictement nécessaires (session Supabase Auth, préférence de locale) sont utilisés ; ils ne nécessitent pas de consentement préalable au sens de l'article 82 LIL.
9. Notifications push
Les notifications push (web et mobile) reposent sur un opt-in granulaire (kind par kind : daily reminder, FSRS due, etc., + toggle master). Aucune notification n'est envoyée tant que l'utilisateur ne s'est pas inscrit.
L'utilisateur peut :
- révoquer toutes les notifications via Settings → Notifications,
- révoquer un appareil donné (suppression de l'app mobile ou désabonnement navigateur),
- modifier l'heure locale et le fuseau de réception.
10. Transferts internationaux
Les données sont stockées principalement dans l'Union européenne (Supabase eu-west-1 Irlande, Cloudflare R2 EU). Certains sous-traitants techniques sont basés aux États-Unis ; les transferts éventuels sont encadrés par les clauses contractuelles types de la Commission européenne (décision 2021/914) et par le EU-US Data Privacy Framework (décision d'adéquation 2023/1795) le cas échéant.
11. Modifications
Cette politique peut évoluer. Toute modification substantielle sera notifiée :
- par bandeau in-app au prochain login ;
- par email aux comptes actifs si la modification réduit les droits des utilisateurs ;
- avec un préavis raisonnable (15 jours minimum) avant entrée en vigueur.
L'historique est tenu dans le CHANGELOG.md du projet.
12. Contact
- Email RGPD : privacy@erudiam.com
- Adresse postale : Avenue du Préau 20, 1040 Etterbeek, Belgique
- Autorité de contrôle : Autorité de protection des données (APD/GBA), Rue de la Presse 35, 1000 Bruxelles, https://www.autoriteprotectiondonnees.be